WP Security Scan は、Wordpress 用のファイルのパーミッションなど、現在のインストール状況を確認してセキュリティ的な問題があるか確認してくれるプラグインです。

動作を確認したバージョン (Tested Version)

WP Security Scan 2.2.64
WordPress 2.5.1 Japanese

機能

次の項目が確認できるようになっています。

  • ファイルのパーミッション (確認)
  • データベースのセキュリティ (確認、変更)
    テーブルのプレフィックスとしてデフォルトの wp_ を使用していると警告されます。またこのツール自身でテーブル名を変更することもできます (バックアップを取ってからにしましょう)。
  • WordPress のバージョンが確認できないようになっているか
  • アカウント “admin” が存在するかどうか (確認)
    それだけ狙われやすいということなのでしょう。
  • パスワードの強さ (破られにくさの判定)
  • 強力なランダムパスワードの生成
  • wp-admin に .htaccess が存在するかどうか

今後のリリースではこんな項目が予定されているようです。

  • ファイルのパーミッション (変更)
  • XSS による脆弱性があるかどうか (確認)
  • 侵入検知 (どの程度のものなのかは不明)
  • 不正なログインの検知とロックアウト
    ブルートフォース アタック対策なのでしょうね。欲しいです。
  • user enumeration protection
    詳細不明。

プラグインとサーバ連動型のセキュリティ確認ツールとして、Blogsecurity の WordPress Scanner がありますが、WP Security Scan は単独で動きます。

最近の WP Security Scan の問題 … (Open issues on WP Security Scan)

トラブルを確認したブラウザは IE7 です。
Reproduced on IE7 Japanese.

管理画面を開いていると「ページにエラーが発生しました」になる。警告アイコンをダブルクリックすると、下記のどちらかのエラーが表示される。
On every management menus I get the page error. Double click on warning icon causes either of:

  • 「’null’ は Null またはオブジェクトではありません。(ライン: 7, 文字: 1)」
    “‘null’ is not Null nor object” error. Line:7, Char:1
  • 「オブジェクトでサポートされていないプロパティまたはメソッドです」
    “Not supported property or method” error. Line:7, Char:1


作者の Michael とは連絡を取り合っていて、かなりの問題が修正されています。Michael の素早い fix に感謝します。
I am communicating with MIchael about these issues, and most has been fixed. 
Thanks Michael for fixes in timely manner.

すでに修正された問題 … (Issues already closed)

WP Security Scan 2.2.56.9 までは以下のような問題がありましたが、すでに修正されています。
WP Security Scan 2.2.56.9 had following issues, but recent version has fixed them.

  • ログオン画面が左寄せになる 😕
    Login screen is left-aligned.
  • テーマのレイアウトが一部崩れる。(テーマに何を書くと発生するかは調査中)
    Theme layout is paritally broken. (Find red circle). To be investigated which part is affected in theme php

最初に遭遇すると、もしかして WordPress 2.5 自身の地雷をまた踏んでしまったのかと思ってしまいますが、恐れることなく [プラグイン] の on/off 画面に進み、WP Security Scan を [使用しない] にしてしまえば直ります。
As soon as turning WP Security Scan off all the issues go away. It’s not the uploader issue on WP2.5 by itself.

また、
Also

  • 画像のアップロードに失敗する
    Uploading picture fails

というトラブルもありますが、これは管理画面を現在開いている IE7 のウィンドウごと一度閉じ、再度開いてログインし直せば直りました。
It recreates as well. It can be fixed to close / reopen the IE7 window including wp25 management screen, and to login again after that.

変更履歴 (History)

2008/4/10 … Michael への説明用に英文を追加
2008/4/10 … Added English description for Michael. Find gray color.